Ist die Störerhaftung ins Datenschutzrecht übertragbar?

Aktuell wird unter Juristen die Übertragung der Rechtsfigur der Störerhaftung in das deutsche Datenschutzrecht diskutiert (Kommunikation & Recht 2/2014, S. 80). Grund dafür ist das Urteil des Verwaltungsgerichts Schleswig (Az. 8 A 14/12) vom 9.10.2013, wonach der Betreiber einer Facebook-Fanpage datenschutzrechtlich nicht für diese haftet.

Was ist die Störerhaftung und wer ist aktuell im Datenschutzrecht haftbar?

Laut dem Urteil des VG Schleswig sei der jeweilige Betreiber – wobei Betreiber hier irreführend verstanden werden könnte, da jeder eine Fanpage auf Facebook in wenigen Schritten selber erstellen kann und diese lediglich mit den Inhalten füllt, die technische Umsetzung jedoch bei Facebook liegt – nicht die verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG ist. Verantwortliche Stelle ist nach dem Gesetz jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Nach der aktuellen Gesetzeslage kann nur die verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG für Verstöße datenschutzrechtlich haftbar gemacht werden.

Die Rechtsfigur der Störerhaftung wurde nach und nach zu einer speziellen Form der Haftung Dritter entwickelt. Als Störer haftbar für einen Verstoß ist jeder, der ohne Täter oder Teilnehmer an der Tat zu sein, in irgendeiner Weise ursächlich zur Beeinträchtigung des Rechtsguts beiträgt (BGH I ZR 129/94, BGH I ZR 121/08, BGH VI ZR 93/10). Im Zivilrecht ist die Störerhaftung mittlerweile anerkannter und fest integrierter Bestandteil des Haftungsrechts.

BGH bejaht Störerhaftung bei Persönlichkeitsverletzungen im Internet

In jüngerer Vergangenheit hat der BGH die Störerhaftung bei Persönlichkeitsverletzungen im Internet bejaht (Urteil vom 25.10.2011 – VI ZR 93/10). Da der Zweck des BDSG der Schutz vor Beeinträchtigung des Persönlichkeitsrechtes, durch den Umgang mit personenbezogenen Daten ist, kommt aktuell die Frage auf, ob Verstöße gegen das Datenschutzrecht ebenfalls eine Konstellation der Persönlichkeitsverletzung darstellen, auf welche die Störerhaftung anwendbar ist.

Voraussetzungen für Störerhaftung könnten vorliegen

Grundsätzlich darf der Störer, wie oben genannt, nicht Täter oder Teilnehmer sein. Folglich darf es sich bei ihm nicht um eine verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG handeln. Als Störer (Dritter) käme damit potenziell nur in Frage, wer zur konkreten Datenverarbeitung in einer Verbindung steht, ohne entscheidungsbefugt zu sein. So führt im Falle der Facebook-Fanpage zwar der Ersteller zur Erhebung der Daten, da er über die Fanpage mit anderen Personen in Kontakt tritt und somit ursächlich für die Erhebung der Daten bei Facebook (Share- und Like-Funktion, Social Plug-in) ist. Allerdings ist er gerade nicht gegenüber Facebook entscheidungs- oder gar weisungsbefugt, ob, wie und in welchem Umfang personenbezogene Daten der Besucher erhoben werden. Um einen Dritten als Störer zu qualifizieren, kommt es also maßgeblich auf dessen Einfluss auf die Datenerhebung und -verarbeitung an. Liegt ein solcher Einfluss vor, muss er zudem einen willentlichen und kausalen Beitrag zur rechtswidrigen Datenverarbeitung erbracht haben. Laut BGH reichen für eine Annahme eines solchen Beitrages das bloße Betreiben einer Website, sowie das Bereitstellen von Speicherplatz für Nutzerinformationen und die Ermöglichung des Abrufs aus (BGH VI ZR 93/10). Insofern können die Grundvoraussetzungen einen Störerhaftung relativ leicht erfüllt sein.

Sind die vorhandenen datenschutzrechtlichen Haftungsregelungen abschließend?

Fraglich ist jedoch, ob die Figur der Störerhaftung in ein Rechtsgebiet eingreifen kann, dessen Haftungsregelungen möglicherweise abschließend sind. So werden die EU-Datenschutzrichtlinie und aus ihr resultierende Vorschriften wie zum Teil das BDSG oder das TMG als abschließende Regelungen in diesem Sinne betrachtet (Piltz, aaO K&R 2/2014, S. 80). Wenn man dies als zutreffend annehmen möchte, käme somit die Störerhaftung im Datenschutzrecht nicht zur Anwendung. Erwähnenswert in dieser Hinsicht ist das BGH-Urteil zur „Spickmich-Entscheidung“ (Az. VI ZR 196/08), dass die Beantwortung der Frage einer Störerhaftung im Datenschutzrecht aber offen lässt. Auf der anderen Seite wurde bereits ein Admin-C vom LG Potsdam in einem Urteil vom 31.7.2013 als Störer zur Unterlassung verurteilt (Az. 2 O 4/13), ohne das dabei auf die Frage einer abschließenden Regelung der Verantwortlichkeit und Haftung durch das Datenschutzrecht eingegangen wurde.

Abschließend lässt sich somit sagen, dass diese Debatte durch die Berufung der Klägerin im Verfahren vor dem VG Schleswig befeuert wird, jedoch keine einheitliche Meinung zur Störerhaftung im Datenschutzrecht momentan vorherrscht. Sollte sich aber die grundsätzliche Bejahung einer Störerhaftung im Datenschutzrecht durchsetzen, eröffnet dies Haftungsrisiken nicht nur für die Betreiber von Facebook-Fanpages.